피드로 돌아가기
Crime crew impersonates help desk, abuses Microsoft Teams to steal your data
The RegisterThe Register
Security

Social Engineering과 Modular Malware를 결합한 UNC6692의 다단계 침투 아키텍처 분석

Crime crew impersonates help desk, abuses Microsoft Teams to steal your data

Jessica Lyons2026년 4월 25일3advanced

AI 요약

Context

신뢰 기반의 협업 툴인 Microsoft Teams와 Helpdesk 사칭을 통한 사회공학적 기법의 결합으로 초기 진입 장벽을 무력화함. 기존 보안 솔루션이 탐지하기 어려운 합법적인 클라우드 서비스와 암호화 트래픽을 활용한 C2 통신 체계 구축.

Technical Solution

  • Double-entry psychological trick을 적용한 Credential-harvest 스크립트로 입력 값의 무결성 확보 및 사용자 신뢰도 강화
  • Chromium Browser Extension(SnowBelt)을 통한 Initial Foothold 확보 및 브라우저 확장 프로그램 등록 시스템을 이용한 Persistence 유지
  • Python 기반 Tunneler(SnowGlaze)를 활용하여 내부망과 C2 인프라 간 Authenticated WebSocket Tunnel 생성
  • JSON Object 래핑 및 Base64 Encoding 처리를 통한 악성 트래픽의 표준 암호화 웹 트래픽 위장
  • Local HTTP Server(SnowBasin) 기반 Bindshell 설계로 내부망 내 Command Execution 및 Data Staging 수행
  • SnowBelt-SnowGlaze-SnowBasin으로 이어지는 Pipeline 구조를 통해 C2 명령을 내부 서버로 Proxy 전달하는 모듈형 에코시스템 구현

실천 포인트

- 협업 툴(Teams, Slack 등)을 통한 외부 링크 접속 및 권한 요청에 대한 Zero Trust 정책 적용 - 브라우저 확장 프로그램의 비정상적인 설치 경로 및 권한 요청에 대한 엔드포인트 모니터링 강화 - WebSocket 기반의 비정상적 장기 연결 및 Base64 인코딩된 JSON 트래픽의 패턴 분석 기반 탐지 룰 설정 - 내부망 내 비정상적인 Local HTTP Server(특히 8000번 포트 등) 실행 여부 주기적 점검

태그

#Modular Malware#C2 Infrastructure#WebSocket Tunneling#Social Engineering#Persistence
원문 읽기